Tecnología inalámbrica / Movilidad : LAN inalámbrica (WLAN)

COSECHE la Guía de despliegue en la sucursal

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (17 Abril 2008) | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona la información que necesita ser tomada en la consideración cuando usted despliega el Punto de acceso del Telecontrol-borde (COSECHE). Refiera al Telecontrol-borde AP (COSECHE) con los AP ligeros y los reguladores del Wireless LAN (WLCs) que el ejemplo de configuración para básico COSECHA la información de la configuración.

Nota: La característica de la COSECHA se soporta hasta la versión 3.2.215 del WLC. De la versión 4.0.155.5 del WLC, estas funciones se llaman Hybrid REAP (H-REAP) con pocas mejoras hasta 7.0.x.x. A partir de la versión el 7.2.103, esta característica se llama FlexConnect.

El protocolo tradicional del Punto de acceso de las livianas de Cisco (LWAPP) - (APS) basado de los Puntos de acceso, (también conocido como revestimientos), por ejemplo los 1010, 1020, y las 1100 y 1200 Series AP que funcionan con el Software Release 12.3(7)JX o Posterior de Cisco IOS�, permite la Administración y el control centrales a través de los reguladores del Wireless LAN de Cisco (WLCs). También, estos revestimientos permiten que los administradores leverage los reguladores como solas puntas de la agregación de los datos de red inalámbrica.

Mientras que estos revestimientos permiten que los reguladores realicen las funciones avanzadas tales como QoS y aplicación del Access Control List (ACL), el requisito del regulador de ser un monopunto del ingreso y de la salida para todo el tráfico del cliente de red inalámbrica puede obstaculizar, bastante que el permiso, la capacidad de cubrir adecuadamente las necesidades de usuario. En algunos entornos, tales como oficinas remotas, la terminación de todos los datos del usuario en los reguladores puede probar también la intensidad de ancho de banda, especialmente cuando la producción limitada está disponible sobre un link PÁLIDO. También, donde están caída del sistema los links entre los revestimientos y el WLCs propensa, otra vez el campo común con los links PÁLIDOS a las oficinas remotas, el uso de los revestimientos que confían en el WLCs para la terminación de los datos del usuario lleva a la conectividad de red inalámbrica separada durante las épocas de la Interrupción WAN.

En lugar, usted puede utilizar una arquitectura AP donde está apalancado el avión tradicional del control del LWAPP para realizar las tareas, tales como Administración de configuración dinámica, actualización del software AP, y la detección de intrusos inalámbrica. Esto permite que los datos de red inalámbrica sigan siendo locales, y la infraestructura de red inalámbrica que sean centralmente manejada y resistente a la Interrupción WAN.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

1030 COSECHE la introducción de la arquitectura

Cisco 1030 COSECHA separa el avión del control del LWAPP del avión de los datos de red inalámbrica para proporcionar la funcionalidad remota. El WLCs de Cisco todavía se utiliza para el control centralizado y la Administración igual que los revestimientos regulares. La diferencia es que todos los datos del usuario están interligados localmente en el AP. El acceso a los recursos de red local se mantiene en las Interrupciones WAN. El cuadro 1 ilustra un básico COSECHA la arquitectura.

Figura 1: Básico COSECHE el diagrama arquitectónico

reap-deployguide1.gif

Nota: Vea el Apéndice A para una lista de diferencias básicas adentro COSECHAR las funciones con respecto a los revestimientos tradicionales.

¿Cuándo debe COSECHAR los AP ser utilizado?

Cisco 1030 COSECHA EL AP se debe utilizar sobre todo bajo estas dos condiciones:

  • Si el link entre el REVESTIMIENTO y el WLC es caída del sistema propensa, los 1030 REAP se pueden utilizar para no prohibir a los usuarios de red inalámbrica el acceso de datos ininterrumpido durante la falla de link.

  • Si todos los datos del usuario se deben terminar localmente, que significa en el puerto atado con alambre del AP (en comparación con ser terminado en el regulador, pues los datos están para el resto de los revestimientos), los 1030 REAP se pueden utilizar para tener en cuenta el control central vía la interfaz y/o el sistema de control inalámbrico (WCS) del regulador. Esto permite que los datos sigan siendo locales.

Donde la cobertura o la densidad del usuario requiere más de dos o tres 1030 COSECHAN los AP en un solo sitio, considere el despliegue de los 2006 o 2106 WLC. Estos reguladores pueden apoyar a hasta 6 revestimientos de cualquier tipo. Esto puede probar un más financieramente viable, y proporciona un superconjunto de las características y las funciones con respecto a un despliegue de la cosecha-solamente.

Como con todas las 1000 Series AP, cubiertas solas 1030 AP aproximadamente 5,000 pies cuadrados. Esto depende de las características de difusión del Radiofrecuencia (RF) en cada sitio, y del número requerido de usuarios de red inalámbrica y de sus necesidades de la producción. En la mayoría de las instalaciones comunes, las solas 1000 Series AP pueden apoyar 12 usuarios en 512kbps en el 802.11b y a 12 usuarios en el 2 mbps en el 802.11a, simultáneamente. Como con todas las Tecnologías 802.11-based, se comparte el acceso a medios. Por lo tanto, cuando más usuarios se unen a la Tecnología inalámbrica AP, la producción se comparte por consiguiente. Mientras que la densidad del usuario aumenta y/o suben los requerimientos del rendimiento, considere una vez más la adición de un WLC local salvar en el coste-por-usuario y aumentar las funciones.

Nota: Usted puede configurar los 1030 cosecha para actuar idénticamente a otros revestimientos. Por lo tanto, cuando el WLCs se agrega para escalar los tamaños de las infraestructuras WLAN de los sitios remotos, existiendo COSECHE las inversiones puede continuar leveraged.

Despliegue COSECHAN

Porque los 1030 REAP se diseña para ser colocado en los sitios remotos lejos de la infraestructura del WLC, los revestimientos tradicionales, del cero-tacto de los métodos usados para descubrir y para unirse a los reguladores (tales como opción DHCP 43) no se emplean generalmente. En lugar, el REVESTIMIENTO se debe primero preparar para permitir que los 1030 conecten con el WLC una parte posterior en un sitio central.

El oscurecimiento es un proceso donde los revestimientos se dan una lista de WLCs con la cual puedan conectar. Unido a una vez a un solo WLC, los revestimientos son informados de todos los reguladores en el grupo de la movilidad y equipados de toda la información necesaria para unirse a cualquier regulador en el grupo. Refiera a los reguladores del Wireless LAN de las Cisco 440X Series que despliegan para más información sobre los Grupos de movilidad, el Equilibrio de carga, y la redundancia del controlador.

Para realizar esto en el sitio central, tal como un Network Operations Center (NOC) o centro de datos, REAPs se debe conectar con la red alámbrica. Esto permite que descubran un solo WLC. Unido a una vez a un regulador, los revestimientos descargan la versión de OS del REVESTIMIENTO que corresponde con la infraestructura WLAN. Entonces, los IP Addresses de todo el WLCs en el grupo de la movilidad se transfieren a los AP. Esto permite los AP, cuando está accionada para arriba en sus sitios remotos, para descubrir y para unirse al menos regulador utilizado de sus listas, con tal que la conectividad del IP esté disponible.

Nota: El trabajo de la opción DHCP 43 y de la búsqueda del Sistema de nombres de dominio (DNS) con cosecha, también. Refiera a los reguladores del Wireless LAN de las Cisco 440X Series que despliegan para la información sobre cómo configurar el DHCP o el DNS en los sitios remotos para permitir que los AP encuentren a los controladores centrales.

Ahora, los 1030 pueden ser dados a las direcciones estáticas si están deseados. Esto se asegura de que el esquema de IP Addressing haga juego el sitio remoto del destino. También, los nombres del WLCs se pueden entrar para detallar que tres reguladores cada REVESTIMIENTO intentarán conectar. Si el fall estos tres, la funcionalidad de balance de carga automática del LWAPP permite que el REVESTIMIENTO elija el AP menos-cargado de la lista restante de reguladores en el cluster. El editar de la configuración del REVESTIMIENTO se puede hacer con el comando line interface(cli) del WLC o el GUI, o con la mayor facilidad, con el WCS.

Nota: 1030 REAPs requieren el WLCs a las cuales conectan para actuar en el modo LWAPP de la capa 3. Esto significa que los reguladores necesitan ser dados los IP Addresses. También, el WLCs requiere un servidor DHCP estar disponible en cada sitio remoto, o las direcciones estáticas deben ser asignadas durante el proceso del oscurecimiento. La funcionalidad DHCP integrada en los reguladores no se puede utilizar para proporcionar los direccionamientos a los revestimientos 1030s o a sus usuarios.

Antes de que usted poder apagado los 1030 revestimientos de enviar hacia fuera a los sitios remotos, se asegure de que cada 1030 está fijado PARA COSECHAR el modo. Esto es muy importante porque el valor por defecto para todo traslapa es realizar al asiduo, funcionalidad local, y la necesidad 1030s de ser fijado para realizarse COSECHAN las funciones. Esto se puede hacer en el REVESTIMIENTO llano a través del regulador CLI o GUI, o con la mayor facilidad, a través de las plantillas WCS.

Básico COSECHE las funciones del oscurecimiento

Después de 1030 REAPs está conectada con un WLC dentro del grupo de la movilidad con donde REAPs conecta cuando está colocada en los sitios remotos, esta información puede ser proporcionada:

Requerido COSECHE las configuraciones

  • Una lista de IP Addresses para el WLC en el grupo de la movilidad (proporcionado automáticamente sobre la conexión controller/AP)

  • COSECHE modo AP (los AP se deben configurar para actuar adentro COSECHAN el modo para realizarse COSECHAN las funciones)

Opcional COSECHE las configuraciones

  • Estáticamente IP Address asignados (una configuración opcional entrada sobre una base por-AP)

  • Nombres primarios, secundarios, y terciarios del WLC (una configuración opcional entrada sobre una base por-AP o vía las plantillas WCS)

  • Nombre AP (una configuración informativa opcional entrada sobre una base por-AP)

  • Información sobre la ubicación AP (una configuración informativa opcional entrada sobre una base por-AP o vía las plantillas WCS)

Requisitos del link del Cosechar-a-regulador

Cuando usted planea desplegar cosecha, algunos requisitos básicos necesitan ser recordados. Estos requisitos se refieren a la velocidad y el tiempo de espera de los links PÁLIDOS COSECHA el tráfico de control del LWAPP atravesará. Los 1030 REVESTIMIENTOS se piensan para ser utilizados a través de los links PÁLIDOS, tales como túnel de la seguridad IP, Frame Relay, DSL (no PPPoE) y líneas arrendadas.

Nota: Los 1030 COSECHAN la implementación del LWAPP asume una trayectoria de 1500 bytes MTU entre el AP y el WLC. Cualquier fragmentación que ocurra adentro transita debido a un byte MTU del sub-1500 lleva a los resultados no predecibles. Por lo tanto, los 1030 REVESTIMIENTOS no se adaptan para los entornos, tales como PPPoE, donde los paquetes de fragmento del Routers dinámico a los bytes del sub-1500.

La latencia del link PÁLIDA es determinado importante porque cada 1030 REVESTIMIENTOS envían, por abandono, los mensajes de latido de nuevo a los reguladores cada 30 segundos. Después de que se pierdan los mensajes de latido, los revestimientos envían 5 latidos sucesivos, una vez cada segundo. Si ningunos son acertados, el REVESTIMIENTO determina que la Conectividad del regulador está separada y los 1030s invierten a independiente COSECHAN el modo. Mientras que los 1030 REVESTIMIENTOS pueden tolerar los tiempos de espera grandes entre sí mismo y el WLC, es necesario asegurarse de que el tiempo de espera no excede 100ms entre el REVESTIMIENTO y el regulador. Esto es debido a los temporizadores del client cara que limitan la cantidad de tiempo de los clientes esperan antes de que los temporizadores determinen una autenticación hayan fallado.

COSECHE las limitaciones

Aunque los 1030 AP se diseñe para ser manejado centralmente y para proporcionar el servicio de la red inalámbrica (WLAN) durante las caídas del sistema PÁLIDAS del link, hay algunas diferencias entre qué servicios ofrece la COSECHA con la Conectividad del WLC y lo que puede proporcionar cuando se separa la Conectividad.

WLAN

Mientras que los 1030 REAP pueden soportar hasta 16 WLAN (perfiles inalámbricos que contengan un [SSID] cada uno del Service Set Identifier, junto con toda la Seguridad, QoS, y otras directivas), cada uno con su propio servicio básico múltiple ID determinado (MBSSID), los 1030 REAP puede soportar solamente la primera red inalámbrica (WLAN) cuando la Conectividad con un regulador se interrumpe. Durante las épocas de la caída del sistema PÁLIDA del link, todos los WLAN excepto los primeros se desarman. Por lo tanto, la red inalámbrica (WLAN) 1 se debe pensar como la red inalámbrica (WLAN) primaria y las políticas de seguridad se deben planear por consiguiente. La Seguridad en esta primera red inalámbrica (WLAN) es determinado importante porque si el link PÁLIDO falla, hace tan la autenticación de RADIUS backend. Esto es porque tal tráfico atraviesa el avión del regulador del LWAPP. Por lo tanto, no se concede ningunos usuarios el acceso de red inalámbrica.

Se recomienda que una autenticación local/un método de encripción, tal como la porción de la clave previamente compartida de Wi-Fi protegió el acceso (WPA-PSK), se utilice en esta primera red inalámbrica (WLAN). El Wired Equivalent Privacy (WEP) es suficiente, pero no se recomienda debido a las vulnerabilidades de seguridad sabidas. Cuando se utiliza el WPA-PSK (o el WEP), los usuarios correctamente configurados pueden todavía acceder a los recursos de red local incluso si el link PÁLIDO está abajo.

Nota: Todos los métodos de seguridad basado en RADIUS requieren los mensajes de autenticación ser transmitidos a través del avión del control del LWAPP de nuevo al sitio central. Por lo tanto, todos los servicios basado en RADIUS son inasequibles durante las Interrupciones WAN. Esto incluye, pero no se limita a, autenticación de MAC basado en RADIUS, 802.1x, WPA, WPA2, y 802.11i.

Los 1030 REAP pueden residir solamente en una subred única porque no puede realizar el Tagging de VLAN 802.1Q. Por lo tanto, el tráfico en cada SSID termina en la misma subred en la red alámbrica. Esto significa que mientras que el tráfico de red inalámbrica se pudo dividir en segmentos sobre el aire entre los SSID, el tráfico de usuarios no está separado en la cara tela.

Seguridad

Los 1030 REAP pueden proporcionar todas las políticas de seguridad de la capa 2 soportadas por la arquitectura PÁLIDA regulador-basada de Cisco. Esto incluye toda la autenticación de la capa 2 y los cifrados teclean, por ejemplo el WEP, el 802.1x, el WPA, el WPA2, y 802.11i. Según lo expuesto previamente, la mayor parte de estas políticas de seguridad requieren la Conectividad del WLC para la autenticación backend. El WEP y el WPA-PSK se implementan completamente en el AP-nivel y no requieren la autenticación de RADIUS backend. Por lo tanto, incluso si el link PÁLIDO está abajo, los usuarios pueden todavía conectar. La característica de la lista de la exclusión del cliente proporcionada en Cisco WLCis soportado los 1030 REVESTIMIENTOS. Funciones de filtrado MAC en los 1030 si la Conectividad de nuevo al regulador está disponible.

Nota: REAP no soporta WPA2-PSK cuando el AP está en el modo autónomo.

Todos acodan 3 políticas de seguridad no están disponibles con los 1030 REVESTIMIENTOS. Estas políticas de seguridad incluyen la autenticación Web, la terminación VPN regulador-basada, los ACL, y al peer a peer que bloquea, porque se implementan en el regulador. El paso VPN actúa para los clientes que conectan con los concentradores VPN externos. Sin embargo, la característica del regulador que permite solamente el tráfico destinado para un concentrador VPN especificado (paso VPN solamente) no hace.

traducción de Dirección de Red (NAT)

El WLCs con las cuales REAPs conecta no puede residir detrás de los límites NAT. Sin embargo, cosecha en los sitios de telecontroles puede sentarse detrás de un cuadro NAT, con tal que los puertos usados para el LWAPP (puertos 12222 y 12223 UDP) se remitan al 1030s. Esto significa que cada REAP debe tener una dirección estática para que el puerto que remite para trabajar confiablemente, y que solamente un solo AP puede residir detrás de cada caso NAT. La razón de esto es que solamente un caso de reenvío del puerto único puede existir por la dirección IP NAT, que significa que solamente un REVESTIMIENTO puede trabajar detrás de cada servicio NAT en los sitios remotos. El NAT uno por puede trabajar con el múltiplo cosecha porque los puertos del LWAPP se pueden remitir para cada IP Address externo a cada IP Address interno (los parásitos atmosféricos COSECHAN la dirección IP).

Calidad del servicio (QoS)

La prioridad de paquetes basada en los bits de precedencia 802.1p no está disponible porque REAP no puede realizar marcar con etiqueta 802.1q. Esto significa que las multimedias del Wi-Fi (WMM) y 802.11e no se soportan. La prioridad de paquetes basada en el SSID y el establecimiento de una red de las bases de la identidad se soportan. Sin embargo, la asignación VLAN vía el establecimiento de una red basado en la identidad no trabaja con la COSECHA porque no puede realizar marcar con etiqueta 802.1q.

Itinerancia y balanceo de carga del cliente

En los entornos donde está presente más que sola REAP y donde se espera la movilidad inter-AP, cada REVESTIMIENTO debe estar en la misma subred. La movilidad de la capa 3 no se soporta en los 1030 REVESTIMIENTOS. Típicamente, esto no es una limitación porque las oficinas remotas no emplean generalmente bastantes revestimientos para necesitar tal flexibilidad.

El cliente agresivo que el Equilibrio de carga se proporciona a través de todo cosecha en los sitios con más que un solo AP cuando la Conectividad por aguas arriba del regulador está disponible (está solamente el Equilibrio de carga se habilita en el regulador del host).

Administración de recursos de radio (RRM)

Cuando la Conectividad a los reguladores está presente, 1030 revestimientos reciben el canal y la salida de la energía dinámicos RRM del mecanismo en el WLCs. Cuando el link PÁLIDO está abajo, RRM no funciona, y canaliza y las configuraciones de energía no se alteran.

Detección rogue y funciones IDS

La arquitectura de la COSECHA soporta toda la firma rogue de la detección y de la detección de intrusos (IDS) que hagan juego el de los revestimientos regulares. Sin embargo, cuando la Conectividad se pierde con un controlador central, toda la información recopilada no se comparte. Por lo tanto, la visibilidad en los dominios RF de los sitios remotos se pierde.

COSECHE el resumen de la limitación

La tabla en el apéndice B resume las capacidades de la COSECHA durante el funcionamiento normal y cuando la conexión al WLC a través del link PÁLIDO no está disponible.

Maneje COSECHAN y arquitectura de WLAN central

1030 COSECHE la Administración es no diferente que el de los revestimientos regulares y del WLCs. Hacen a la Administración y la configuración todo en el regulador-nivel, con el CLI de cada regulador o red GUI. La visibilidad de la configuración de todo el sistema y de la red se proporciona con el WCS, donde todos los reguladores y AP (COSECHE o de otra manera) se pueden manejar como solo sistema. Cuando se interrumpe la Conectividad del Cosechar-regulador, las capacidades de administración también se interrumpen.

La arquitectura de WLAN centralizada con COSECHA

El cuadro 2 muestra cómo cada parte de la arquitectura centralizada del LWAPP trabaja junta para cubrir una variedad de necesidades de la red inalámbrica. Proporcionan la Administración y los servicios de ubicación centralmente a través del WCS y del dispositivo de 2700 ubicaciones.

Figura 2: La arquitectura de WLAN centralizada con COSECHA

/image/gif/paws/81784/reap-deployguide2.gif

Apéndice A

¿Cuáles son las diferencias principales entre la arquitectura de la COSECHA y los revestimientos del asiduo?

  • Si la opción DHCP 43 o la resolución de DNS no está disponible en los sitios remotos, los 1030 se deben primero preparar en la oficina central. Entonces, se envía hacia fuera al sitio de destino.

  • Sobre la falla de link PÁLIDA, solamente la primera red inalámbrica (WLAN) sigue siendo activa.

    • Las políticas de seguridad que requieren el RADIUS fallarán.

    • La autenticación/el cifrado que utiliza el WPA-PSK se recomienda para la red inalámbrica (WLAN) 1. trabajos WEP, pero no se recomienda.

  • Ningún cifrado de la capa 3 (cifrado de la capa 2 solamente)

  • WLCs que REAPs conecta no puede residir detrás de los límites NAT. Sin embargo, REAPs puede, con tal que cada parásitos atmosféricos internos COSECHEN la dirección IP tengan ambos puertos del LWAPP (12222 y 12223) remitidos a ellos.

    Nota: El Port Address Translation (PAT) /NAT con el overloading (sobrecarga) no se soporta porque el puerto de origen del tráfico del LWAPP que origina del REVESTIMIENTO puede cambiar en un cierto plazo. Esto rompe la asociación del LWAPP. El mismo problema puede presentarse con las implementaciones NAT para REAP donde la dirección de puerto cambia, por ejemplo el PIX/ASA pudo, que depende de la configuración.

  • Solamente los mensajes del control del LWAPP atraviesan el link PÁLIDO.

  • El tráfico de datos se interliga en el acceso de Ethernet de los 1030.

  • Los 1030 REVESTIMIENTOS no realizan marcar con etiqueta del 802.1Q (los VLA N). Por lo tanto, el tráfico de red inalámbrica de todos los SSID termina en la misma subred atada con alambre.

Apéndice B

¿Cuáles son las diferencias en funcionalidad entre el normal e independiente COSECHE los modos?

  COSECHE (modo normal) COSECHE (modo autónomo)
Protocolos IPv4
IPv6
El resto de los protocolos Sí (solamente si el cliente es también el IP habilitado) Sí (solamente si el cliente es también el IP habilitado)
Proxy ARP IP No No
red inalámbrica (WLAN) Número de SSID 16 1 (primer)
Asignación dinámica del canal No
Control de poder dinámico No
Equilibrio de carga dinámico No
VLAN Interfaces múltiples No No
soporte del 802.1Q No No
Seguridad de WLAN Detección rogue AP No
Lista de la exclusión Sí (miembros existentes solamente)
Bloqueo entre iguales No No
Sistema de la detección de intrusos No
Seguridad de la capa 2 Autenticación de MAC No
802.1x No
WEP (64/128/152bits)
WPA-PSK
WPA2-PSK No
WPA-EAP No
WPA2-EAP No
Seguridad de la capa 3 Autenticación Web No No
IPSec No No
L2TP No No
Paso VPN No No
Listas de control de acceso No No
QoS Perfiles de QoS
Link descendente QoS (colas de administración del tráfico del ordenamiento cíclico equilibrado)
soporte 802.1p No No
Por usuario contratos del ancho de banda No No
WMM No No
802.11e (futuro) No No
Invalidación del perfil AAA QoS No
Movilidad Intra-subred
Inter-subred No No
DHCP Servidor DHCP interno No No
Servidor DHCP externo
Topología Direct conecta (2006) No No

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 81784